Het succes van Operatie Bakovia: Nederlandse politie ontmaskert Roemeense cybercriminelen

Simkaarten waarmee de Roemeense bende virussen verspreidde. Ze werden door de Roemeense politie in beslag genomen.Beeld x

Een Roemeense bende infecteerde tienduizenden computers met een virus dat bestanden gijzelt. Dankzij de Nederlandse politie werden onlangs vijf verdachten gearresteerd. Een reconstructie van Operatie Bakovia.

De deur van een appartement in een anoniem Roemeens flatgebouw zwaait open. Direct stormen agenten met getrokken wapens naar binnen. In de woning vinden zij servers, laptops en honderden simkaarten. Twee verdachten worden aangehouden. Vanuit deze plek stuurden zij volgens de autoriteiten op grote schaal computervirussen de wereld in.

Het is halverwege december. Een dag na de inval, op vrijdag de vijftiende, worden nog eens twee verdachten opgepakt op het vliegveld van Boekarest. Ze waren op het moment niet in de flat aanwezig en staan op het punt het land te verlaten. Later wordt nog een verdachte gearresteerd.

De aanhoudingen zijn voor de Nederlandse politie, die beelden van de arrestaties online zet, het resultaat van een lang onderzoek met de naam 'Operatie Bakovia'. Gert Ras, hoofd van Team High Tech Crime van de politie, spreekt over een 'opvallend succes'. "Ik ken geen andere casus waar verdachten van zo'n grote ransomwarecampagne zijn aangehouden. Hoewel onderzoek nog moet uitwijzen hoeveel ze precies hebben verdiend, gaan we ervan uit dat ze tienduizenden computers hebben geïnfecteerd."

Nederlandse gedupeerden

De Nederlandse politie maakt in 2015 voor het eerst kennis met het werk van de verdachten. Er komen tweehonderd aangiftes van slachtoffers binnen. Maar het werkelijk aantal geïnfecteerde computers in Nederland ligt veel hoger, zegt de politie. Het is een bekend gegeven dat een klein deel van de mensen die te maken krijgen met internetcriminaliteit aangifte doet. Volgens het CBS meldde zich in 2016 maar acht procent.

De slachtoffers hebben een e-mail gekregen die afkomstig lijkt van KPN en die gaat over een rekening die betaald moet worden. Klikt een slachtoffer op de link, dan wordt niet de rekening gedownload, maar een virus met de naam CTB-locker. Dat begint direct bestanden op de computer te versleutelen. 

Het slachtoffer krijgt een scherm te zien waarin losgeld wordt geëist variërend van zo'n 400 tot 800 dollar. Als een slachtoffer niet binnen 96 uur geld overmaakt via virtueel betaalmiddel Bitcoin, dan maakt het virus alle bestanden permanent ontoegankelijk, staat er.

De mail is volgens Christiaan Beek, security-onderzoeker bij het Amerikaanse bedrijf McAfee, in opvallend goede spelling en bewoordingen opgesteld. Ook de naam onder de mail klopt: de man is volgens zijn Linkedinpagina op dat moment verantwoordelijk voor de klantenservice bij KPN. Voor Beek reden genoeg te concluderen dat het om een goed voorbereide phishingcampagne gaat.

Darkweb

Het team van Beek heeft al eerder kennis gemaakt met de ransomware die de bende gebruikt. De makers ervan - dat zijn niet de Roemeense verdachten zelf - zijn in juni 2014 begonnen met adverteren op het zogenoemde darkweb. Dat deel van internet is alleen met een speciale anonieme server te bereiken. Het is bekend dat er op levendige marktplaatsen op het darkweb van alles te koop is, waaronder computervirussen.

Voor 1500 dollar heb je er de eerste versie van CTB-locker. Andere varianten kosten het dubbele. Kopers kunnen ook kiezen voor de optie om de ransomware via een soort leasesysteem te gebruiken. Dertig procent van de opbrengsten moet de koper dan afstaan aan de maker van het virus. Het is een systeem dat ook wel cybercrime-as-a-service wordt genoemd: oftewel internetcriminelen maken gebruik van elkaars expertise en diensten. CTB-locker geniet gretig aftrek op het darkweb. Volgens McAfee groeit het virus in 2016 zelfs uit tot de grootste ransomware-familie van dat jaar.

Operatie Bakovia

Voor de politie begint dan het ingewikkelde deel van Operatie Bakovia. Er ligt een phishingmail, er zijn een hoop Nederlandse slachtoffers, nu moet de bron van de besmetting nog gevonden worden. In het onderzoek dat volgt, stuit Team High Tech Crime, de internetspecialisten van de politie, op informatie dat een Nederlandse server betrokken is bij het verspreiden van CTB-locker. Het gaat om tips vanuit meerdere bronnen, zegt Gert Ras. Meer details wil hij op dit moment niet geven.

De server in Nederland is één van de computers in een groot wereldwijd netwerk dat de criminelen gebruiken om hun aanvallen uit te voeren. Je kunt zo'n server vrij eenvoudig huren, zonder dat de verhuurder ervan weet waarvoor het gebruikt wordt. Nu de politie weet dat de Roemenen gebruikmaken van een server in Nederland, kan er getapt worden. De politie kan dan meekijken met al het verkeer dat erin en eruit gaat. Daaruit blijkt dat de server van de Roemenen wordt gebruikt om de phishingcampagnes uit te voeren.

Reden genoeg om ook naar de inhoud van de server te willen kijken. Daarvoor maakt de politie een kopie van de hele inhoud. Dat gebeurt zonder dat de criminelen het door hebben. De server is tijdens het kopiëren even uit de lucht, maar dat gebeurt wel vaker, dus het wekt geen argwaan. Het blijkt een cruciale stap in het onderzoek. 

De specialisten van de politie treffen er een schat aan informatie aan. Zoals verschillende varianten van CTB-locker en een ander virus met de naam Cerber. Naar dat laatste virus blijkt de US Secret Service onderzoek te doen. Nu zijn ook de Amerikanen betrokken bij de zaak.

Op de server staat ook een berg aan e-mails en correspondentie. Niet alleen internetgebruikers in Nederland, België en Italië blijken het doelwit te zijn van de criminelen. De campagnes met geïnfecteerde e-mails gericht op Ierland en Noorwegen staan op het punt te beginnen. De criminelen hebben al een lijst met miljoenen e-mailadressen van burgers klaar staan.

Virus ontleden

Het is voor de politie nu een kwestie van zoeken naar aanknopingspunten die iets over de eigenaar van de server zeggen. Dat is vooral letten op foutjes van de criminelen. Zo wordt het virus stukje bij stukje ontleed in de hoop dat ze ergens per ongeluk een spoor hebben achtergelaten.

Wat de politie vaak ook helpt is het feit dat de criminelen de server hebben moeten huren. Niet dat ze daarbij keurig hun naam en adres achterlaten, maar voor de politie kan zo'n handeling wel informatie opleveren. Een IP-adres bijvoorbeeld.

De politie besluit ook de hulp van securitybedrijf McAfee in te schakelen. Ras: "Wij doen zelf ook een uitgebreide analyse, maar zo'n virus binnenstebuiten keren, dat is hun vak. Eigenlijk vragen we dus aan het bedrijf: missen wij iets?"

Het team van Christiaan Beek krijgt, net als veel andere bedrijven in de branche, met regelmaat dergelijke vragen van justitie. Dat gaat via een officieel rechtelijk verzoek. Dat de politie nu bij McAfee uitkomt, is geen toeval. Het bedrijf weet al veel over CTB-locker, dat virus dat ze al in 2014 voor het eerst tegenkwamen.

Het, zoals Ras het noemt, 'woud aan spoortjes' verzameld door McAfee en de politie, brengt succes. De identiteit van de verdachten wordt achterhaald. En dat leidt naar Roemenië. Op dat punt draagt de Nederlandse politie het dossier over aan de Roemeense collega's. Aan de autoriteiten daar de taak om de zaak verder af te handelen. Dat gebeurt, de flat in Roemenië wordt binnengevallen.

Signaal naar criminelen

Operatie Bakovia is typerend voor het werk van het Team High Tech Crime van de politie, zegt Ras. Eigenlijk heeft elk onderzoek naar digitale criminaliteit een internationale component. Dat betekent veel overleg met buitenlandse collega's - veelal gefaciliteerd door de Europese politieorganisatie Europol - en regelmatig een oefening in geduld. Niet in elk land gaat vervolging even snel.

Dat Operatie Bakovia succesvol eindigt, ziet Ras als een visitekaartje voor zijn afdeling. "Ik geloof echt dat er een signaal uitgaat naar criminelen. De Roemeense groep had heel bewust een campagne op Nederland gericht. Maar nu weten ze: dat kan dus tot gevolg hebben dat je het Team High Tech Crime achter je aan krijgt."

Ook volgens Beek is de aanhouding van verdachten allerminst vanzelfsprekend. In veel onderzoeken lukt het uiteindelijk niet om te achterhalen wie er achter het toetsenbord zit. Er zijn nou eenmaal veel manieren om anoniem te blijven online. Bovendien gebruiken criminelen nog weleens afleidingsmanoeuvres. Beek: "Ze laten bijvoorbeeld sporen achter in de code waardoor het lijkt alsof ze uit Nederland komen. Daarmee proberen criminelen onderzoekers op het verkeerde been te zetten."

Overigens betekent het oprollen van de Roemeense bende nog niet dat hun slachtoffers uit de problemen zijn. Nog altijd zijn de sleutels die toegang geven tot de bestanden niet gevonden. Ook is het nog niet gelukt de bestanden op een andere manier te ontsleutelen. CTB-locker blijkt bijzonder degelijke ransomware te zijn.

Cybercriminelen kopen kennis eenvoudig op het darkweb

De wereld van de internetcriminelen bestaat uit specialisten. De één is een kei in het maken van malware, de ander weet als geen ander hoe je een succesvolle phishingcampagne opzet, of is goed in het kraken van systemen om e-mailadressen van potentiële slachtoffers te stelen. Op de zwarte markt bieden die specialisten allemaal hun diensten aan. Cybercrime-as-a-service wordt dat genoemd.

Het gevolg is dat een crimineel echt geen allround technisch genie hoeft te zijn om te transformeren in een digitale boef. Sterker nog: er zijn kant-en-klare pakketten te koop die vrijwel geen kennis vragen.

Ook de Roemeense bende waarover dit artikel gaat was onderdeel van deze cybercrime-as-a-service-markt. Of de Roemenen ook hulp inschakelden van een Nederlander, wordt nog door de politie onderzocht. De phishingmail zat in ieder geval zo degelijk in elkaar, dat die bijna wel moet zijn opgesteld door iemand die de Nederlandse taal machtig is.

Het gevolg van het systeem van diensten en specialisten is dat met het aanhouden van de Roemenen de gijzelsoftware die ze gebruikten niet automatisch ook onschadelijk is gemaakt. Deze kan dus zomaar opnieuw opduiken. Het is daarom nog steeds belangrijk om goed op te letten welke e-mailbijlagen je opent of op welke links je klikt. Het advies is ook om altijd een back-up te maken van je bestanden, zodat je alles terug kunt zetten als je toch geïnfecteerd bent. De politie roept op de criminelen nooit te betalen. Dat houdt een lucratief verdienmodel in stand. Op de website nomoreransom.org - een initiatief van onder andere Team High Tech Crime - zijn sleutels te vinden die kunnen helpen om bestanden terug te krijgen.

Eén van de Roemeense locaties waar de politie invallen deed en simkaarten en laptops in beslag nam.Beeld x

Lees ook: zo geraffineerd steken nepmails in elkaar. Roos kreeg een Whatss-app van haar zogenaamde 'broer'

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden